Основная часть:
Уровни обработки определяют механизмы построения централизо¬ванной компоненты аудита и задают способы передачи регистраци¬онной информации на сервер безопасности. Первый уровень — обработка в реальном времени — предполагает немедленную от¬правку регистрационной информации клиентской частью на сервер безопасности, второй уровень — уровень оперативной обработки — предполагает выдачу регистрационной информации по удаленному запросу администратором безопасности с сервера в моменты мини¬мальной загрузки канала связи.
С целью минимизации влияния системы защиты на производитель¬ность связного ресурса на первом уровне должны обрабатываться минимальные объемы регистрационной информации — факты НСД (в пределе — факты преодоления злоумышленником распределенно реализуемых в системе механизмов защиты информации). 3. Компонента контроля пользователей на защищаемом объекте представляет собою реализацию централизованной схемы сбора и обработки инфор¬мации. При этом контролируемая информация генерируется и выдает¬ся на сервер безопасности по команде с сервера. Несмотря на большие объемы передаваемой информации, реализация данной компоненты не оказывает сколько-нибудь заметного влияния на производительность связного ресурса (занимает доли процента полосы пропускания канала связи). Причем это независимо от числа контролируемых системой защиты объектов (рабочих станций и серверов ЛВС).
Функциональные подсистемы и модули центрально-распределенной системы защиты.
Функциональная структура сетевой системы защиты
С учетом особенностей рассматриваемого в работе класса систем (сис¬тем защиты, основные функции которых реализуются на системном уров¬не), система должна быть хорошо структурирована. Функциональная структура системы защиты задает распределение реализуемых функций по отдельным функциональным подсистемам. Функциональная подсисте¬ма состоит из нескольких модулей, реализующих набор механизмов, не¬обходимых для покрытия требований данной подсистемы.
Функциональный модуль определяется как структурный элемент, реали¬зующий набор механизмов или используемый для вспомогательных це¬лей (организации взаимодействия между другими модулями в рамках решения всего комплекса задач).
Используя определенные выше компоненты системы защиты и сформули¬рованные в предыдущем разделе рекомендации, получаем структуру сете¬вой системы защиты, основанную на реализации централизованно-распре¬деленной архитектуры, представленную на рис. .3 (см. приложение). Там указаны информационные и управляющие связи между модулями в пределах одной функциональной подсистемы, а также между отдельными функциональны¬ми подсистемами.
Из рис. 6.3. можно видеть, что в общем случае могут быть выделены сле¬дующие типы функциональных подсистем:
Подсистема защиты рабочих станций и информационных серверов
(клиентская часть системы защиты). К этой же подсистеме отнесем
функции регистрации событий.
Подсистема удаленного контроля рабочих станций и информационных серверов.
Подсистема удаленного управления механизмами защиты рабочих
станций и серверов.
Подсистема защиты рабочих станций и информационных серверов (клиентская часть системы защиты)
Подсистема защиты рабочих станций и информационных серверов (клиентская часть системы защиты) является структурообразующим элементом, призванным решать собственно задачи защиты информации и содержащем в себе следующие основные функциональные модули:
1. Модули, реализующие механизмы защиты (каждый механизм за¬
щиты реализуется отдельным функциональным модулем):
модуль аутентификации;
модуль управления доступом;
модуль контроля целостности;
модуль противодействия ошибкам и закладкам в системном и функциональном программном обеспечении;
модуль очистки памяти и изоляции программных модулей и др."
(в зависимости от реализуемых в системе механизмов защиты).
Модуль регистрации (аудита).
Модуль управления режимами, который решает задачи инициали¬
зации механизмов при доступе к защищаемым ресурсам.
Подсистема удаленного контроля рабочих станций и информационных серверов
Подсистема удаленного контроля рабочих станций и информационных серверов реализует, в дополнение к перечисленным функциям защиты, контроль служебной деятельности сотрудников и информации, распола¬гаемой на защищаемом объекте.
Данная подсистема состоит из следующего набора функциональных модулей: 1. Модуль сканирования клавиатуры и монитора. Модуль сканирования клавиатурного буфера удаленной консоли осуществляет копирование информации, набираемой на клавиатуре видеотерминала, с целью последующего архивирования и передачи на рабочее место админи¬стратора безопасности. При этом передача может осуществляться либо в синхронном режиме — по расписанию, либо в асинхронном режиме — по внешним запросам администратора безопасности. Предварительное накопление информации по результатам контроля со¬стояния осуществляется либо в специальной, защищенной от просмотра области внешнего диска, либо в виде, не пригодном для непосредствен¬ного просмотра и удаления пользователями. Режим функционирования модуля определяется согласно установке соответствующих параметров локальной базы данных системы защиты по сигналам от модуля управле¬ния режимами. Команды управления режимами инкапсулируются в кад¬рах протокола управления сетевыми соединениями системы защиты и непосредственно передаются модулю управления режимами. Модуль сканирования видеобуфера удаленной консоли реализует аналогичные контролирующие функции по отношению к видеотер¬миналу удаленной консоли. В дополнение к перечисленному, дан¬ным модулем осуществляется автоматическое архивирование полу¬ченной информации непосредственно перед передачей на рабочее место администратора безопасности. Период выполнения контро¬лирующих функций данного вида определяется необходимостью выборочного контроля пользователей.